Предполагам, че всеки знае, че е хубаво да се ползват “силни” пароли, че не е хубаво, да се ползва една и съща парола навсякъде, че ЕГН-то или част от него не е силна парола, че името на домашния любимец също не е и т.н.
Прадполагам, че и всеки, ако се е замислил върху собствените си пароли, е стигнал до следните заключения:
- Паролите ми не са достатъчно сигурни;
- Ползвам една и съща парола на няколко места (в добрия случай ползвам няколко пароли);
- Не мога да запомня “&lkKfd#$^fsd$S234d#”, още повече няколко такива пароли!
- и т.н.
Хората са измислили не малко генератори на “хубави” пароли, но някой трябва да ги помни. Хората са измислили и не малко програми за сигурно съхранение на вече изгенерираните пароли, но дали ще са ни достъпни навсякъде? Хората са направили и не малко on-line съхранители на пароли, но дали пък не злоупотребяват?
Все хубави решения, но и вярни въпроси. Паранията понякога е хубаво нещо 
.
А как, по демоните, да спим спокойно?
Ами няма начин!
Всъщност се шегувам.
Реално погледното, по никакъв начин не можеш да се защитиш напълно! Стига някой да има невероятното желание и невероятните средства, и невероятното време и познания, винаги може да пробие всяка защита.
Дори и да ползвате 100 символна парола, съдържаща малки и големи букви, числа и “сепциални символи”, то някой може да пробие уеб или DB сървъра и пак да се докопа до информацията ви. Или пък ще впрегне 100 000 машини да въртят пароли и пак ще уцели.
УЖАС! И сега как да спя?
Спокойно! За повечето хора, които четат това, никой няма да хвърли толкова време и средства! А ако все пак има някой, който да е застрашен от такава атака и чете това – пич, ако разчиташ на мен, да ти кажа, как да се пазиш, много лошо 
!.
Пфу! А защо трябваше да прочета всичко това, вместо да си спя спокойно?
Ами защото на мен не ми се спи .
Шегичка, де. Повечето от изписаното е, защото не ми се спи. Но все пак е вярно. Това, което интересува обикновения потребител е:
- Много сайтове са “пробити”. Особено сайтове за запознанства, abv и т.н.;
- Има сайтове, които съхраняват паролите ви в чист вид. Ако цъкнете на линка “Забравена парола” и те ви изпратят вашата парола, то със сигурност я “пазят” в чист или поне в лесно достъпен вид!;
- Благодарение на така наречените “Рейнбоу таблици”, слабите пароли са лесно разкриваеми;
- Ако ползваме кратки пароли (под 8, 9 символа), то те полежат и на атака по метода на грубата сила, т.е. извъртат се всички възможни комбинации от символи, докато не се нацели вярната;
- Ако паролата е съставена от думи, например “TypataMiParola” или “AzObichamZagorka”, то тя подлежи на речникова атака;
- Понякога не е нужно да знаят паролата ти, за да влезнат вместо теб в даден сайт! Стига им хеш-а на паролата ти! (бях написал и как, но предпочитам тези, които не знаят как, да не научават!)
Та, доста врели, некипели надрънках (по-скоро написах)! Това или част от това, всеки го знае. Ето и едно леко и сравнително сигурно решение:
Използването на генератори на пароли, базирани на сайта или системата, за която се отнасят и една или повече базови (Master) пароли, както и евентуално различни допълнителни опции за генерирането на паролата.
Каква е идеята? На базата на името сайта (или системата) и допълнителните опции и базовата парола се генерира друга, съдържаща разнообразен набор от символи (големи и малки букви, числа и “специални знаци”). По този начин във всеки различен сайт вие ще имате различна парола, която в същото време ще е достатъчно силна. В същото време вие ще помните една или няколко базови пароли, което няма да натоварва паметта ви излишно и ще сведе възможността, да забравите паролата си за epay, до минимална. (Не е лошо все пак, да сте си настроили правилно email-ите за изпращане на нова временна парола или линк за целта, в случай, че забравите настройките за генериране на паролата (случвало ми се е)).
За да е по-лесно, хората са написали и разширения за Firefox (сигурно има и за други браузъри, но аз съм си фен на Firefox-а). Двете разширения, които си заслужават са (може и да има и други, които си заслужават, но от тестваните от мен до сега, са тези):
И двете имат опции за дължината на паролата. И двете имат странички за генериране на паролата, дори и да нямате инсталирано съответното разширение. Самите странички съдържат JavaScript, който се изпълнява на браузъра ви, което ви гарантира, че паролите ви няма да заминат към някой лош човек (е, стига да няма key logger на компютъра, на който ги пускате).
Лично моя избор е “Password Hasher”. “PasswordMaker” дава повече опции за избор на начин на генериране на паролата, но не винаги разпознава полетата за пароли (например не разпознава полето за парола на началната страница на abv.bg), което ми създава леки неудобства, а и повечето опции не винаги са предимство – по-лесно се забравят .
Колко по-сигурни сме обаче? Да прегледаме пак рисковете, които тегнат над нас:
Много сайтове са “пробити”. Особено сайтове за запознанства, abv и т.н.;
Чудесно! Или не съвсем де, но все пак, имайки ни паролата от abv, не могат да проникнат в gmail, например. Там паролата е тотално различна.
Има сайтове, които съхраняват паролите ви в чист вид. Ако цъкнете на линка “Забравена парола” и те ви изпратят вашата парола, то със сигурност я “пазят” в чист или поне в лесно достъпен вид!;
Пак същия случай!
Благодарение на така наречените “Рейнбоу таблици”, слабите пароли са лесно разкриваеми;
Тук може би е най-якото. Паролите ни вече не са слаби! Вероятността една такава парола да присъства в “Рейнбоу таблица” е минимална.
Ако ползваме кратки пароли (под 8, 9 символа), то те полежат и на атака по метода на грубата сила, т.е. извъртат се всички възможни комбинации от символи, докато не се нацели вярната;
И тук е яко. Можете да зададете, да се генерира достатъчно дълга парола (до 26 символа при “Password Hasher” и теоретично неограничен при “PasswordMaker”), така че грубата сила да стане прекалено времеемка (милиони години), за да се използва.
Ако паролата е съставена от думи, например “TypataMiParola” или “AzObichamZagorka”, то тя подлежи на речникова атака;
И тук. Паролите са тотално разбъркана комбинация от допустимите символи, което тотално ги отдалечава от думите в речниците за речникова атака.
Понякога не е нужно да знаят паролата ти, за да влезнат вместо теб в даден сайт! Стига им хеш-а на паролата ти!
Е, за този казус решение за сега не съм измислил, а и не знам дали някой въобще е измислил. В общи линии важи същото и като с първия проблем. Ще могат да проникнат само в същия сайт, от който е открадната паролата. Най-сигурно – ако информацията е особено чувствителна, не ползвайте тази опция на сайтовете!
Eто и как изглежда една парола, генерирана за моя блог с базова парола “1234″, ползвайки “Password Hasher” и да кажем 10 символа:
WUpq1!UMpW
А така изглежда с “PasswordMaker”:
~qI~?#DLnj
Аналогично, но за abv.bg:
Password Hasher:
ig0z9!+UWu
PasswordMaker:
qIv;NpM*Hy
Както се вижда, паролите са доста идиотски, трудно запомними, но пък силни .
Та, това беше! Ако ви се е доспало от 1110-те думи до тук, то лека нощ. Вече можете да спите спокойно! Ако някой наистина можещ батко иска да ви прочете пощата, то спасение няма, заради което и да будувате, няма да ви помогне, но поне няма всяко новоизлюпило се “хакерче” да ви прави на луди.
Лека нощ!
Поздрави Ему
П.П. Забравих да спомена. НЕ ИЗПОЛЗВАЙТЕ ТЕЗИ РАЗШИРЕНИЯ НА МЕСТА, КЪДЕТО НЯМАТЕ БРАУЗЪР, като login за Windows-а, например!
Аз имам практика да генерирам пароли на базата на сайта – било то title, URL или някоя част от source-а, за която разчитам, че няма да се смени скоро. И по собствено алгоритъмче си правя парола, която лесно мога да възпроизведа и отвъд собствените си машини
, и същевременно е уникална за сайта и трудно разгадаема, ако бъде открадната.
Другото нещо е, че ползвам едната ми машина за повечето неща. С remote control софтуер се връзвам за нея от лаптопа и служебната машина и ползвам нея. Вярно, ако я ‘гръмнат’, ще ми се стъжни, но пак ми е по-сигурно, отколкото да се логвам от незащитени безжични мрежи примерно.
Ако пък използвате една парола навсякъде, но използвате само домашния компютър за да влизате в това “навсякъде” – може да се защитите с Master password. Да, вярно — това гарантира само едно — че на домашния компютър никой няма да ви пипне акаунтите и прочее, но ако съжителствате с хора, с които делите компютъра…абе използвайте си master password
П.П. Ти кога ще намалиш бирата ?
Марио Пешев, ти си я генерираш наум или ползваш някаква подобна екстра? А за това, че е достъпна извън собствените машини, аз съм го написал: Имат on-line вариант и двете, т.е. цъкаш им на страничката и си генерираш паролата.
Краси, а аз какво да направя, че само у нас са 3 машини, от които ползвам навсякъдето, а и какво те пази това, че си влизаш от защитения компютър, от това, че сума ти народ има базата с потребителите на абв, майл.бг, елмаз, бгдейт и т.н.? Та дори на някои от тези места си пазят паролите в чист вид.
Поздрави Ему
Нали аз си споменах, че е леко оффтопик, защото говоря само за защита що се отнася от околни досадници като братя, сестри, мами, татковци и прочее, които искат да седнат на компютъра, но малко или много те е страх, че могат да намерят security – saved passwords на лиско.
А това, че голям процент от сайтовете не “солят” md5 май всички го знаем. Даже съм чувал, че един човек отдавна събира пароли, но добронамерено — да покаже кои са най-често използваните пароли. Мисля, че беше събирал от абв и елмаз. Да де – моят личен фаворит си остава ЕГН-то като парола
Но както сам каза – няма нищо сигурно. Остава да се надяваме, че някои сайтове криптират добре. Ако криптират добре и паролата ни е странна – ще отнеме малко повече време да се разбие. От друга страна като знаем вече сайтовете, които пазят паролите в plain text…и знаем да не се бичим там – това си е спокойствие.
То този човек не събира само от абв и елмаз, а и доста повече сайтове. И да, прави го за статистика и подобни, не вредящи нужди, но не е само той!
А кой сайт, как пази паролите, не можеш да знаеш, преди да си му изчоплил базата или преди някой да ти каже.
Аз имах случай, когато получих в абв писмо от “мен”:
Та, по-добре и по-лесно е, да са ти различни паролите и както виждаш, е елементарно
Например номерът на автомата от казармата или серийния номер на рамата от автомобила
При мен пък е тъпо — над 100 пъти съм си повтарял паролата (9 битова) на Киро, че ме мързеше да му правя нов акаунт с root права за лаптопа…а и едно от новогодишните ми обещания е да си сменя паролата с някоя по-добра и по-силна…
@Emu, не ползвам софтуер, разчитам на личен алгоритъм. Причината е, че често се налага да се логвам от различни устройства, вкл. и мобилни, и ми е по-лесно да си имам логика на влизането.
Съвсем прост и примерен алгоритъм:
blog.emyto.net
12 символа, последните 2 от главния домейн са ‘to’, а ‘net’ наобратно е ‘ten’. И става примерно: ‘ten12to’, като се конкатенират в някакъв ред.
Оттам може да се вкара съвсем просто кодиране с инкрементиране (‘to’ става ‘up’) или числата се умножават… Абе, такива неща. Може да изглежда сложно, но ми трябват няколко секунди, за да се сетя за паролата (ако не съм логнат или със запазена парола).
Все пак ще погледна мейкъра, като остане време
Ти няма да имаш щастието да си имаш номер на AK-то! Мойто първото, колкото и да ми е странно, още го помня. Май беше 812. Трябва да си видя военната книжка.
Но това е тъпа сол за парола, а и пак казвам, не те спасява
Два бързи примера за пароли:
- 1z%M(y)xLw
- s0w!r@`
И двете са почти сигурни, особено първата.
@Краси, почти сигурно е единствено, че никога няма да ги запомня
Марио Пешев, хвала на алгоритъма ти, но за колко сайта можеш да го възпроизведеш? Всъщност, сигурно доста, но пак има не малка възможност да се объркаш. Но пак: Хвала ти!
Краси, да мязат на сигурни. И какво от това? Ако сега ти скрия коментара, ще ги помниш ли утре?
@Emu, моят алгоритъм е една идея по-различен, но досега се е провалял само 2 пъти. Причината беше чисто и просто несериозни сайтове с ограничение на паролата до 6 символа или прекалено сериозни, изискващи поне 2 специални символа.
С 2-3 генерирани пароли, алгоритъмът е ясен до краен предел.
Марио Пешев, е то е ясно, че няма да си дадеш алгоритъма на всеослушание, но все пак си си изградил някакъв начин, да ползваш различни пароли, без да ги помниш.
А за сайт, чието ограничение за дължина на паролата е 6 символа не съм чувал, а ако има такъв, не бих се регистрирал. Баси, то вече те ограничават името ти да не е под 5 символа, та за паролата ще се ебават.
Поздрави Ему
Несериозни сайтове. 6 май не, мисля че 8 символа бе в 1 или 2 сайта, в които ми е трябвало нещо. Там просто се регистрирам с разни temp пароли, които имам за такива случаи (места, на които съм почти сигурен, че паролата ми е plain text, но не ми пука).
П.С. По повод горната забележка, сещам се за 2 случая, в която паролата ми фейлна – два форума, на които смениха домейните по различни причини. Там съм редовен обаче и помня старите адреси, тъй че дори не съм я сменял по новия резултат от т.н. ми ‘алгоритъм’
[...] И бира Just another beer weblog « Как да използваме сигурни пароли, без да разполагаме с … [...]
Ок. Използваме разширенията. Ами ако дойде време за формат какво правим ?
После тия пароли къде ще ги търся. Май най-добре е да си записвам “ултраяките” пароли на листче 
Не е нужно да ги търсиш! Те така или иначе не се помнят (освен ако си му казал да ги помни). Просто или след формата си качваш наново разширението и си свиркаш или отваряш съответната страничка и си генерираш паролите.
Точно това е номера, че помниш само една базова парола и настройките (които може да са еднакви за всичките ти логини) и то ти генерира всеки път правилната парола
.
А за записване на листче, хората го водят за много лоша практика. Е, някои си държат пин-а на дебитната карта на листче в портофейла, в който е и картата. Сигурно, нали
.
Поздрави Ему
Мерси за разяснението
Ще се пробва 
Чудя се ако се получи следния почти невъзможен катаклизъм: форматнали сме, аддона е спрян от разработка, нямаме негов бакъп, няма от къде да го дръпнем
Голям фън ще е 
Е, както сам казваш, почти невъзможно е.
А и дори да се получи нещо подобно, аз го имам на 4-5 машини и вероятността да изчезне от всички става още по клоняща към минус безкрайност
.
Та, ако случайно се случи – свиркай(те)
.
Иначе ми изникна друг проблем с тези пароли. Не мога да си влизам в защитените акаунти през телефона, защото Fennec за Symbian все още няма и съответно нямам и разширението за паролите. Още не съм измисли, как да се справя, но ще му намеря цаката.
Поздрави Ему
Custom решение му е майката, някой online wallet на твой хостинг, който е просто и защитено PHP и прави, каквото му кажеш
Паролите си минават през 2-3 вида хеширания и криптирания, just in case.
Ему, смени ли паролата
Разбира се
Ninja, пиши ми на мейл или някой IM, да те питам разни работи, които не ми се обсъждат съвсем публично
.